ids( ذوفن صیشت متسیس :13 سر

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

(IDS)نفوذ سیستم تشخیص : 13درس

1 / 36


فهرست مطالب

مقدمه و تعاریف اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

2 / 36


سیستم تشخیص نفوذ

تشخیص نفوو(ID): فرآینود ناوا ب ور وعوای د داده د یو

شبکه و یا سیستم کوامپیوتر د ههوت کشوف مووا د انحورا از

.سیاست ها امنیتی

سیستم تشخیص نفو(IDS): ی نرم افزا وا عا ییوت تشوخیص

ه فعالیت ها غیرمجاز یوا ناهنجوا (واکنش) آشکا ساز و پاسخ

.مد ا طه ا سیست

ه عد 1980تحقیقاب و توسعه آن از سال

3 / 36


IDSیک وظایف عمومی

سیستم و کا رشبکه ناا ب و تحییل فعالیت ها

حملاب شناخته شده منطبق ا تشخیص الگوها

تحییل الگوها فعالیت ناهنجا

4 / 36


از سیستم های تشخیص نفوذ استفاده دلایل

ثبت تهدیداب موهود را ی سازمانتشخیص و

ا تشخیص د مراحل اولیه حملابهیوگیر از کامل شدن

تکرا حملاب مشا ه ا آگاهی سانی د مو د حملاب هیوگیر از

کشف شده

اتفاق افتاده و نفو ها حملاب اطلاعاب مفید د ا ه آو هم

و شوف ک (هوا پوییر آسیبشناخت ) امکان عیب یا ی ساز فراهم

تصحیح عامل ها سبب شونده

5 / 36



مقدمه‌و‌تعاریف‌اولیه سیستم های و مشخصاترده بندی

تشخیص نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

6 / 36

36 / 7 امنیت داده و شبکه محمد صادق دوستی

در شبکه IDS سنسورآرایش قرارگیری


IDSمعماری یک

ها کننده داده فراهم (Data Provider)

پردازنده پیش (Preprocessor)

تشخیصو تحییل موتو (Analysis & Detection Engine)

دهی پاسخ (Response)

ها ویدادنامه ترافی شبکه

فتا ها حمیه یا نرمال


رده بندی کلی سیستم های تشخیص نفوذ

سیستممعما

سیستم تشخیص نفو

تحییل وش

منب اطلاعاب

ه نفو واکنش

تحییل بند زمان

سوءاستفادهتشخیص

ناهنجا تشخیص

فعال

منفعل

د نگی

دو ه ا

متمرکز

توزی شده

کا رد مبتنی ر رنامه

میز انمبتنی ر

شبکهمبتنی ر


آوری اطلاعات جمع

عمییاب هم آو داده از ی منب اطلاعواتی و تحویول آنهوا وه

موتو تحییلپردازنده و پیش

مبتنی ر شبکه (NIDS)

میز اننی ر مبت (HIDS:)

ممیز سیستم عاملدنباله ها (Audit Trail) ویدادناموه هوا

(Logs)

کا رد رنامه مبتنی ر

وب ویدادنامه پایگاه داده ها ویدادنامه کا گزا

10 / 36


(ادامه)آوری اطلاعات جمع

مبتنی ر شبکه تشخیص نفو

امزای:

عا ییت ناا ب ر ی شبکه ز گ

عدم تداخل ا عمیکرد معمولی شبکه

داشته شدن از دید مهاهمان عا ییت مخفی نگه

معایب:

عدم عمیکرد صحیح د ترافی سنگین

عدم توانایی د تحییل اطلاعاب مز شده( مانندVPN)

11 / 36


(ادامه)آوری اطلاعات جمع

ناا ب مبتنی ر میز ان

امزای:

کشف حملاتی که از طریق شبکه عا ل شناسایی نیستند.

عا ییت عمل د محیطی که ترافی شبکه د آن مز شده

معایب:

امکان غیرفعال شدن سیستم د خشی از حمیه

نیاز ه انبا ه زیاد را خیره اطلاعاب

سر ا محاسباتی را میز ان

12 / 36


زمانبندی تحلیل

بند زمان(Timing:) فاصیه زمانی ین خوداد وعوای د منبو

اطلاعاب تا تحییل آنها توسط موتو تحییل

یا دو ه ا دسته ا بند زمان(Batch)

کشف نفو پس از وعوع عدم امکان پاسخ گویی فعال

ی د نگ ند زمان (Real-time)

تشخیص نفو ه محض وعوع و یا حتی عبول از آن وهوود امکوان

پاسخ گویی فعال و پیش گیر از نفو

13 / 36


تحلیل و تشخیص

تشخیص سوء استفاده(Misuse Detection)

حمیهعلائم (Attack Signatures)

تشخیص ناهنجا(Anomaly Detection)

غیرنرمال فتا

14 / 36


تشخیص سوء استفاده

مشخصاب

حملاب موهود ناختش

تعریف الگو حملاب را موتو تحییل

ا از وعای که ا یو الگوو از پویش تعریوف هستجو مجموعه

.شده مطا قت دا د

الگوها حمیه روز سانینیاز ه

سیستم خبره وشها مبتنی ر گیا حالاب : ساز وشها پیاده

...و

15 / 36


تشخیص ناهنجاری

مشخصاب

عمیکرد نرمال سیستم ناختش

از فتا نرمال سیستم را موتو تحییل هایی تهیه نمایه

هستجو فعالیت غیر نرمال

است؟آیا هر فتا غیر نرمال ی حمیه

ها عصبی و وشها آما شبکه: ساز وشها پیاده...

16 / 36


(مقایسه)تحلیل و تشخیص

مثبووت غیووط(False Positive:) تشووخیص ناد سووت ترافیوو

خوب ه عنوان حمیه

منفی غیوط(False Negative:) تشوخیص ناد سوت ترافیو

حمیه ه عنوان خوب

17 / 36

تشخیص سوءاستفادهMisuse Detection

تشخیص ناهنجا Anomaly Detection

تشخیص حملاب ناشناخته حملاب شناخته شده تشخیص فقط د حد

مثبت غیط الا ودن د صد خطا کمتر خطا ا تشخیص سری و مطمئن


ترکیب دو نوع موتور تحلیل

نما ی سیستم تشخیص نفو ترکیبی

اطلاعاب منب

دهنده پاسخ

دهنده ناهنجا تشخیص

(پروفایلموتو )

سوءاستفادهتشخیص دهنده

( موتو انطباق الگو)

الگو حملاب

ها پروفایل

18 / 36


واکنش به نفوذ

فعال (Active:) د صو ب تشخیص حمیه انجوام رخوی اعموال

واکنشی ه صو ب خودکا

(مثلا انسداد دسترسی مهاهم)انجام عمیی عییه مهاهم

آو اطلاعاب یشتر هم

منفعل(Passive :)گزا ش ه مدیران و واگیا واکنش ه آنها

نمایش پیغام ر و صفحه

پیام / ا سال پست الکترونیکی

:ها فعالIDSعنوان دیگر

(IPS)هیوگیر از نفو سیستمها

19 / 36



مقدمه‌و‌تعاریف‌اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای تشخیص نفوذ سازی سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

20 / 36


سازی تشخیص سوءاستفاده پیادهروشهای

ستم خبره سی(Expert System)

را پردازش حقایق و اسوتنتا نتوایم منطقوی از ایون سازوکا

ا از عواعد حقایق ا توهه ه زنجیره

سنا یوها نفو الگوها یا

سیستمد داده وعای د

عواعد

حقایق

21 / 36


سازی تشخیص سوءاستفاده روش های پیاده

مزایا

ا ائه حملاب د عالب عواعد توسط کا ر دون نیاز ه دانستن نحوه

عمیکرد سیستم خبره

یامکان اضافه کردن عواعد هدید دون تغییر عواعد عبی

معایب

ها کا آیی پایین نامناسب را حجم زیاد داده

نامناسب را یان ترتیب د عواعد

22 / 36


سازی تشخیص سوءاستفاده روش های پیاده

وش ها مبتنی ر گیا حالت (State Transition)

نایور گرافیکوی مودلها ) گویا حالت سیستم ومفهوم استفاده از

( یز / ما کو شبکه ها

ها انطباق الگو استفاده از تکنی

سرعت و عا ییت

حالت خطرناک نهایی اولیه امن حالت : الگو حمیه عمییاب

کیید

23 / 36


سازی تشخیص ناهنجاری روش های پیاده

یان نمایه ا معیا ها عدد : یتحییل کم

تعداد مجاز و ود ناموفق را کا رA n است.

یان نمایه ا معیا ها آما : تحییل آما

و ودها ناموفق را کوا رA وا میوانگین توزیو نرموال از یو و .پیرو می کند انحرا معیا

IDES NIDES Haystack

دسته ند : داده کاو(classification ) و نرموال فتا ها ر حسوب غیرنرمال

24 / 36


مقایسه پروفایل رفتار کاربر مجاز و مهاجم

مهاهم کا ر مجاز

میانگین فتا مهاهم

میانگین فتا کا ر مجاز

همپوشانی فتا ها




نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی چند سیستم تشخیص نفوذ نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

26 / 36


Snortسیستم

ایگانو از متن

مبتنی ر شبکه (NIDS)

تشخیص سوءاستفاده

نوع حمیه انحاو الگو هزا

27 / 36


Snortنمونه خروجی


OSSECسیستم

ایگان و از متن

میز ان مبتنی ر(HIDS)

هیسوتر کنترل صوحت مانیتو ینوگ ویدادنامهامکان تحییل

rootkit و تشخیص (ویندوز)

ماننود )مختیوف هوا عامول هوا سیسوتم عا ییت ه کا گیر د

Linux FreeBSD Mac OS و Windows )

29 / 36


OSSECنحوه کار

OSSEC Server

OSSEC Agents

encrypted logs UDP port 1514

encrypted logs UDP port 1514

log security events

log security events

decode logs generate alerts

Notifications

tail –f /var/ossec/alerts/alerts.log

alerts.log

syslog


Splunk for OSSEC داشبورد




نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های تشخیص نفوذ مکمل سیستم

32 / 36


های تله ترکیب با سیستم

عسل سیستم تیه(Honeypot :) اغفال و فریوب مهواهم ههوت

.عمیکرد آن نحوةهم آو اطلاعاب یشتر از

شود میاستفاده دافزا ها آو هم د حال حاضر یشتر را.

ها تشوخیص ناهنجوا ورا هودایت امکان استفاده از سیستم

ها ترافی مشکوک ه تیه


تحلیل همبستگی هشدارها

هشدا ها ساز همبستهسیستم(Alert Correlation)

سیستمی ورا تحییول همبسوتگی وین ویودادها ثبوت شوده

ها تشخیص نفو توسط سیستم( هشدا ها تولید شده)

اهدا:

ها اعلانکاهش حجم هشدا ها و

وا سی صحت هشدا ها

ا استخرا حملاب چند مرحیه

34 / 36


(EWS)سیستم اخطار زودرس

Early Warning System

حملاب عبل از وعوع پیش ینی

هشدا ها از منا متعدد همبسته ساز ر اساس هم آو و

مثال :DeepSight ( محصولSymantec)

هزا ان مشتر شبکه ها هم آو اطلاعاب از

پو تووالهوور مشووتر مووی توانوود اطلاعوواب شووبکه خووود ا د

DeepSight مشاهده نماید.

د صو ب حمیه ه ی مشتر سایرین ه سرعت مطی می شوند.


پایان

:صفحه د س

/1-442/ce2/95-94http://ce.sharif.edu/courses/

18الی 17 یکشنبه ها :مراهعه حضو ههت ف اشکال

(هنب آسانسو شیشه ا طبقه پنجم دانشکده د ب )

یا د زمانها دیگر ا عرا عبیی

dousti@ce :یا ه وسییه ایانامه

36 / 36

http://ce.sharif.edu/courses/94-95/2/ce442-1/











ids( ذوفن صیشت متسیس :13 سر

Documents